Source: SpecterOps (billet de blog, 19 nov. 2025). Contexte: Publication de recherche détaillant une vulnérabilité de SCCM intégrée à Entra ID, assignée CVE-2025-59501, avec un correctif publié le 27 oct. 2025 (KB35360093) et une chronologie de divulgation.

  • Le billet explique que, sur des sites SCCM intégrés à Microsoft Entra ID (CMG/Co-management) et avant le correctif KB35360093, l’API AdminService valide un jeton Entra puis extrait l’UPN pour réaliser une impersonation Kerberos S4U d’un compte Active Directory correspondant, sans contrôle d’autorisation supplémentaire sur l’UPN. Cela permettait d’exécuter des opérations WMI côté SMS Provider « au nom » de n’importe quelle identité AD mappable via l’UPN.

  • L’abus repose sur la manipulation d’UPN en environnement hybride. En profitant du mappage implicite d’UPN dans AD et d’un domaine DNS vérifié dans Entra, un attaquant peut créer/synchroniser un utilisateur dont l’UPN correspond à l’UPN implicite du compte machine du serveur de site SCCM (ex. sccm-sitesrv$@domaine). Après authentification via l’applicatif Entra « clientapp » pour obtenir un jeton ciblant l’API « webapp », puis en rétablissant l’UPN de l’attaquant (pour éviter le mappage explicite), l’appel à AdminService est traité comme le compte machine du serveur de site. Le journal AdminService.log illustre alors l’ajout d’un utilisateur de faible privilège comme administrateur SCCM, entraînant une prise de contrôle de la hiérarchie.

  • Des contraintes sont listées: nécessité de pouvoir créer/modifier des UPN (droits AD adéquats, p.ex. GenericWrite/WriteProperty sur un utilisateur, GenericAll/CreateChild sur une OU, ou écriture sur le jeu d’attributs « Public Information »), et besoin que le domaine DNS AD soit vérifié dans Entra. Les environnements avec domaines non routables (ex. corp.local) compliquent l’attaque. Le billet note aussi que certaines pratiques de synchronisation d’UPN recommandées par Microsoft peuvent, selon les choix d’implémentation, faciliter la création d’UPN correspondant à des comptes AD privilégiés non synchronisés.

  • Correctif: Microsoft a ajouté un contrôle qui exige la présence et la correspondance du claim onprem_sid dans le jeton Entra avec un utilisateur découvert par SCCM dans AD avant de traiter la requête au niveau du SMS Provider. Ce changement ferme la voie d’attaque. Le billet inclut une timeline de divulgation et précise que le patch est sorti le 27/10/2025 et que la vulnérabilité est suivie sous CVE-2025-59501.

  • Produits/éléments concernés: SCCM/Configuration Manager (sites intégrés Entra ID), AdminService (OData REST), Entra ID/OAuth2, Kerberos S4U. Type d’article: publication de recherche technique exposant une vulnérabilité et son correctif.

IOCs: Aucun indiqué.

TTPs observés/mentionnés:

  • Abus de l’API SCCM AdminService via jeton Entra validé sans contrôle d’autorisation sur l’UPN
  • Usurpation d’identité AD par Kerberos S4U basée sur le claim UPN du jeton
  • Manipulation d’UPN (implicite/explicite) et synchronisation Entra dans un environnement hybride
  • Récupération de ClientID/Scope/Tenant depuis la base de registre d’un client SCCM
  • Élévation de privilèges via ajout d’un compte comme admin SCCM à travers l’API

🔗 Source originale : https://specterops.io/blog/2025/11/19/sccm-hierarchy-takeover-via-entra-integrationbecause-of-the-implication/